Comprendi l'impatto degli errori in Google Distributed Cloud

Google Distributed Cloud è progettato per limitare l'ambito degli errori e per dare priorità alle funzionalità fondamentali per la continuità aziendale. Questo documento spiega in che modo la funzionalità dei cluster viene influenzata in caso di errore. Queste informazioni possono aiutarti a dare la priorità alle aree da risolvere in caso di problemi.

Se hai bisogno di ulteriore aiuto, contatta l'assistenza clienti Google Cloud.

Le funzionalità di base di Google Distributed Cloud includono le seguenti categorie:

  • Esegui carichi di lavoro: i carichi di lavoro esistenti possono continuare a essere eseguiti. Questa è la considerazione più importante per mantenere la continuità aziendale. Anche se il cluster ha un problema, i carichi di lavoro esistenti potrebbero continuare a essere eseguiti senza interruzioni.
  • Gestione dei carichi di lavoro: puoi creare, aggiornare ed eliminare i carichi di lavoro. Questa è la seconda considerazione più importante per scalare i carichi di lavoro quando il traffico aumenta, anche se il cluster ha un problema.
  • Gestire i cluster utente: puoi gestire i nodi, aggiornare, eseguire l'upgrade e eliminare i cluster utente. Questo aspetto è meno importante delle considerazioni sul ciclo di vita dell'applicazione. Se è disponibile capacità sui nodi esistenti, l'incapacità di modificare i cluster utente non influisce sui carichi di lavoro utente.
  • Gestire i cluster di amministrazione: puoi aggiornare ed eseguire l'upgrade del cluster di amministrazione.
    • Per i deployment che utilizzano cluster di amministrazione e utenti separati, questa è la considerazione meno importante, perché il cluster di amministrazione non ospita alcun carico di lavoro dell'utente. Se il cluster di amministrazione ha un problema, i carichi di lavoro delle applicazioni su altri cluster continuano a essere eseguiti senza interruzioni.
    • Se utilizzi altri modelli di deployment, ad esempio ibridi o autonomi, il cluster di amministrazione esegue i carichi di lavoro delle applicazioni. Se il cluster di amministrazione ha un problema e il piano di controllo non è attivo, non potrai inoltre gestire i carichi di lavoro delle applicazioni o i componenti del cluster utente.

Le sezioni seguenti utilizzano queste categorie di funzionalità di base per descrivere l'impatto di tipi specifici di scenari di errore. In caso di interruzione nell'ambito di uno scenario di errore, se possibile viene indicata anche la durata (ordine) dell'interruzione.

Errori del nodo

Un nodo in Google Distributed Cloud potrebbe smettere di funzionare o diventare non raggiungibile sulla rete. A seconda del pool di nodi e del cluster di cui fa parte la macchina in errore, sono disponibili diverse modalità di errore.

Nodo piano di controllo

La seguente tabella illustra il comportamento dei nodi che fanno parte del piano di controllo in Google Distributed Cloud:

Esegui carichi di lavoro Gestione dei carichi di lavoro Gestione dei cluster utente Gestione dei cluster di amministrazione
Interruzione (durata) Nessuna interruzione Possibile interruzione (sconosciuta) Possibile interruzione (sconosciuta) Possibile interruzione (sconosciuta)
Spiegazione Se l'errore del nodo interessa il singolo nodo del piano di controllo in un cluster utente non ad alta disponibilità o se interessa almeno la metà dei nodi del piano di controllo in un cluster utente ad alta disponibilità, si verifica un'interruzione. Il quorum del piano di controllo del cluster utente è andato perduto. Se l'errore del nodo interessa il singolo nodo del piano di controllo in un cluster di amministrazione non ad alta disponibilità o se interessa almeno la metà dei nodi del piano di controllo in un cluster di amministrazione ad alta disponibilità, si verifica un'interruzione. Il quorum del piano di controllo del cluster di amministrazione è andato perduto. Se l'errore del nodo interessa il singolo nodo del piano di controllo in un cluster di amministrazione non ad alta disponibilità o se interessa almeno la metà dei nodi del piano di controllo in un cluster di amministrazione ad alta disponibilità, si verifica un'interruzione. Il quorum del piano di controllo del cluster di amministrazione è andato perduto.
Recupero Per ulteriori informazioni, consulta Come ripristinare la perdita del quorum. Per ulteriori informazioni, consulta Come ripristinare la perdita del quorum. Per ulteriori informazioni, consulta Come ripristinare la perdita del quorum.
Prevenzione Esegui il deployment dei cluster utente in modalità ad alta disponibilità per ridurre al minimo la possibilità di interruzioni. Esegui il deployment dei cluster di amministrazione in modalità ad alta disponibilità per ridurre al minimo la possibilità di interruzioni. Esegui il deployment dei cluster di amministrazione in modalità ad alta disponibilità per ridurre al minimo la possibilità di interruzioni.

Nodo del bilanciatore del carico

La seguente tabella illustra il comportamento dei nodi che ospitano i bilanciatori del carico in Google Distributed Cloud. Queste indicazioni si applicano solo ai bilanciatori del carico in bundle con modalità di livello 2. Per il bilanciamento del carico manuale, consulta le modalità di errore dei bilanciatori del carico esterni:

Esegui carichi di lavoro Gestione dei carichi di lavoro Gestione dei cluster utente Gestione dei cluster di amministrazione
Interruzione (durata) Possibile interruzione (varia) Possibile interruzione (varia) Possibile interruzione (varia) Possibile interruzione (varia)
Spiegazione Se i carichi di lavoro esterni si basano sul bilanciatore del carico del piano dati per comunicare con i carichi di lavoro nel cluster e hai un solo nodo del bilanciatore del carico, si verifica un'interruzione. L'indirizzo IP virtuale del piano di controllo del cluster utente risiede su un nodo del bilanciatore del carico. Se il pool di nodi del bilanciatore del carico del cluster utente non è ad alta disponibilità, si verifica un'interruzione. L'indirizzo IP virtuale del piano di controllo del cluster di amministrazione risiede su un nodo del bilanciatore del carico. Se il pool di nodi del bilanciatore del carico del cluster di amministrazione non è ad alta disponibilità, si verifica un'interruzione. L'indirizzo IP virtuale del piano di controllo del cluster di amministrazione risiede su un nodo del bilanciatore del carico. Se il pool di nodi del bilanciatore del carico del cluster di amministrazione non è ad alta disponibilità, si verifica un'interruzione.
Recupero

Se sono presenti più nodi del bilanciatore del carico, il failover di MetalLB avviene entro pochi secondi.

In caso contrario, valuta la possibilità di eseguire il deployment di nodi del bilanciatore del carico aggiuntivi.

In caso di alta disponibilità, il failover è automatico nell'ordine dei secondi.

Se non ad alta disponibilità, valuta la possibilità di eseguire il deployment di nodi del bilanciatore del carico aggiuntivi

In caso di alta disponibilità, il failover è automatico nell'ordine dei secondi.

In caso contrario, valuta la possibilità di eseguire il deployment di nodi del bilanciatore del carico aggiuntivi.

In caso di alta disponibilità, il failover è automatico nell'ordine dei secondi.

In caso contrario, valuta la possibilità di eseguire il deployment di nodi del bilanciatore del carico aggiuntivi.

Prevenzione Per ridurre al minimo la possibilità di interruzioni, esegui il deployment dei pool di nodi del bilanciatore del carico in modalità ad alta disponibilità. Per ridurre al minimo la possibilità di interruzioni, esegui il deployment dei pool di nodi del bilanciatore del carico in modalità ad alta disponibilità. Per ridurre al minimo la possibilità di interruzioni, esegui il deployment dei pool di nodi del bilanciatore del carico in modalità ad alta disponibilità. Per ridurre al minimo la possibilità di interruzioni, esegui il deployment dei pool di nodi del bilanciatore del carico in modalità ad alta disponibilità.

Nodo worker

La seguente tabella illustra il comportamento dei nodi worker in Google Distributed Cloud:

Esegui carichi di lavoro Gestione dei carichi di lavoro Gestione dei cluster utente Gestione dei cluster di amministrazione
Interruzione (durata) Possibile interruzione (ordine di secondi) Nessuna interruzione Nessuna interruzione Nessuna interruzione
Spiegazione

I Pods eseguiti sul nodo con errori vengono interrotti e vengono ripianificati automaticamente su altri nodi integri con un timeout di eliminazione predefinito di 5 minuti.

Se le applicazioni utente hanno una capacità di riserva per i carichi di lavoro e sono distribuite su più nodi, l'interruzione non è osservabile dai client che implementano nuovi tentativi.

Pods vengono riavviati automaticamente sui nodi integri.

Se il cluster non ha capacità di riserva, l'interruzione potrebbe durare fino a quando non verranno aggiunti nuovi nodi al cluster.

Recupero Se il cluster non ha capacità di riserva, devi eseguire il deployment di più nodi distribuiti in più zone di errore e spostare i carichi di lavoro non riusciti sui nuovi nodi.
Prevenzione

Esegui il deployment di nodi distribuiti in più zone di errore.

Esegui il deployment di carichi di lavoro con più repliche distribuite su più zone di errore per ridurre al minimo la possibilità di interruzioni.

Errore di archiviazione

Lo spazio di archiviazione in Google Distributed Cloud potrebbe smettere di funzionare o non essere raggiungibile sulla rete. A seconda dell'archiviazione in errore, esistono diverse modalità di errore.

etcd

I contenuti delle directory /var/lib/etcd e /var/lib/etcd-events potrebbero diventare danneggiati in caso di spegnimento non corretto del nodo o un errore sottostante di archiviazione. La seguente tabella illustra il comportamento della funzionalità di base a causa degli errori di etcd:

Esegui carichi di lavoro Gestione dei carichi di lavoro Gestione dei cluster utente Gestione dei cluster di amministrazione
Interruzione (durata) Nessuna interruzione Possibile interruzione (sconosciuta) Possibile interruzione (sconosciuta) Possibile interruzione (sconosciuta)
Spiegazione Se i carichi di lavoro esistenti non si basano sul piano di controllo Kubernetes, continueranno a funzionare senza interruzioni. Se etcd si verifica in errore su un singolo cluster utente del piano di controllo o su almeno la metà dei nodi del piano di controllo in un cluster utente ad alta disponibilità, si verifica un'interruzione. Il quorum del piano di controllo del cluster utente è andato perduto. Se etcd si verifica in errore nel cluster di amministrazione di un singolo piano di controllo o in almeno la metà dei nodi del piano di controllo in un cluster di amministrazione ad alta disponibilità, si verifica un'interruzione. Il quorum del piano di controllo del cluster di amministrazione è andato perduto. Se etcd si verifica in errore nel cluster di amministrazione di un singolo piano di controllo o in almeno la metà dei nodi del piano di controllo in un cluster di amministrazione ad alta disponibilità, si verifica un'interruzione. Il quorum del piano di controllo del cluster di amministrazione è andato perduto.
Recupero Per ulteriori informazioni, consulta Come ripristinare la perdita del quorum. Per ulteriori informazioni, consulta Come ripristinare la perdita del quorum. Per ulteriori informazioni, consulta Come ripristinare la perdita del quorum.
Prevenzione Per ridurre al minimo la possibilità di interruzioni, esegui il deployment dei cluster utente in modalità ad alta disponibilità. Per ridurre al minimo la possibilità di interruzioni, esegui il deployment dei cluster di amministrazione in modalità ad alta disponibilità. Per ridurre al minimo la possibilità di interruzioni, esegui il deployment dei cluster di amministrazione in modalità ad alta disponibilità.

Applicazione utente PersistentVolume

La seguente tabella illustra il comportamento della funzionalità di base a causa del errore di un PersistentVolume:

Esegui carichi di lavoro Gestione dei carichi di lavoro Gestione dei cluster utente Gestione dei cluster di amministrazione
Interruzione (durata) Possibile interruzione (sconosciuta) Nessuna interruzione Nessuna interruzione Nessuna interruzione
Spiegazione I carichi di lavoro che utilizzano l'istanza PersistentVolume are affected. non riuscita
Recupero
Prevenzione Per ridurre al minimo la possibilità di interruzioni, esegui il deployment del carico di lavoro dell'utente in modalità ad alta disponibilità.

Disco danneggiato in bit Fluent

Il danneggiamento di un disco a bit Fluent non influisce sulle funzionalità di base, ma sulla capacità di raccogliere e ispezionare i log su Google Cloud.

A volte l'evento SIGSEGV può essere osservato dai log di stackdriver-log-forwarder. Questo errore potrebbe essere causato da log danneggiati nel buffer sul disco.

Fluent Bit dispone di un meccanismo per filtrare e rilasciare i blocchi rotti. Questa funzionalità è disponibile nella versione fluent-bit (v1.8.3) utilizzata in Google Distributed Cloud.

Su LoadBalancer IP

Se tutti gli indirizzi IP nei pool assegnati sono attualmente occupati, i servizi LoadBalancer appena creati non possono acquisire un indirizzo IP LoadBalancer. Questo scenario influisce sulla capacità dei client del servizio di comunicare con i servizi LoadBalancer.

Per risolvere il problema dall'esaurimento degli indirizzi IP, assegna altri indirizzi IP al pool di indirizzi modificando la risorsa personalizzata del cluster.

Scadenza del certificato

Google Distributed Cloud genera un'autorità di certificazione (CA) autofirmata durante il processo di installazione del cluster. La CA ha una scadenza di 10 anni ed è responsabile della generazione dei certificati, che scadono dopo un anno. Ruota regolarmente i certificati per evitare tempi di inattività del cluster. Puoi ruotare i certificati effettuando l'upgrade del cluster, che è il metodo consigliato. Se non riesci a eseguire l'upgrade del cluster, puoi eseguire una rotazione CA on demand. Per ulteriori informazioni sui certificati cluster, consulta Certificati e requisiti PKI nella documentazione Kubernetes.

Se i certificati del cluster sono scaduti, devono essere rinnovati manualmente.

Esegui carichi di lavoro Gestione dei carichi di lavoro Gestione dei cluster utente Gestione dei cluster di amministrazione
Interruzione (durata) Nessuna interruzione Possibile interruzione (sconosciuta) Possibile interruzione (sconosciuta) Possibile interruzione (sconosciuta)
Spiegazione Se i carichi di lavoro degli utenti non comunicano con i componenti del piano di controllo Kubernetes, non si verificano interruzioni. Se le autorità di certificazione per i cluster utente scadono, si verificherà un'interruzione. Se le autorità di certificazione per i cluster di amministrazione scadono, si verificherà un'interruzione. Se le autorità di certificazione per i cluster utente scadono, si verifica un'interruzione.
Recupero

Segui i passaggi per rinnovare manualmente i certificati nel cluster utente.

Segui i passaggi per rinnovare manualmente i certificati nel cluster utente.

Segui i passaggi per rinnovare manualmente i certificati nel cluster utente.

Prevenzione La configurazione monitora la scadenza del certificato. Una metrica di esempio kubelet_certificate_manager_server_expiration_seconds è disponibile nell'elenco delle metriche.

Errori di upgrade

Esegui carichi di lavoro Gestione dei carichi di lavoro Gestione dei cluster utente Gestione dei cluster di amministrazione
Interruzione (durata) Nessuna interruzione Nessuna interruzione Possibile interruzione (sconosciuta) Possibile interruzione (sconosciuta)
Spiegazione

Se l'upgrade non va a buon fine sul piano di controllo del cluster utente, NON si verificano interruzioni dei carichi di lavoro esistenti.

Se l'upgrade non riesce su un determinato nodo worker, i carichi di lavoro su quel nodo verranno svuotati e spostati su altri nodi integri, se c'è capacità aggiuntiva sui nodi integri.

L'upgrade verrà interrotto se non riesce a eseguire l'upgrade di uno dei nodi del piano di controllo. Il cluster è ancora funzionante se l'upgrade non va a buon fine se il cluster utente è ad alta disponibilità. Se l'upgrade non va a buon fine sul piano di controllo del cluster di amministrazione, l'interruzione subisce un'interruzione fino al termine dell'upgrade. Se l'upgrade non va a buon fine sul piano di controllo del cluster di amministrazione, l'interruzione subisce un'interruzione fino al termine dell'upgrade.
Recupero È possibile eseguire l'upgrade. Per ulteriori informazioni, scopri come diagnosticare e riprendere l'upgrade. È possibile eseguire l'upgrade. Per ulteriori informazioni, scopri come diagnosticare e riprendere l'upgrade.
Prevenzione Per ulteriori informazioni, scopri come creare un backup prima di eseguire l'upgrade. Per ulteriori informazioni, scopri come creare un backup prima di eseguire l'upgrade.

Passaggi successivi